2020年8月13日，腾讯安全团队监测到 Apache Struts 官方发布安全公告，披露 S2-059 Struts 远程代码执行漏洞，以及 S2-060 Struts 拒绝服务漏洞。
漏洞详情 Apache Struts2 框架是一个用于开发 Java EE 网络应用程序的 Web 框架。
S2-059 Struts 远程代码执行漏洞（CVE-2019-0230），在不规范的使用某些 tag 等情况下，可能存在 OGNL 表达式注入，从而引发远程代码执行漏洞。
S2-060 Struts 拒绝服务漏洞（CVE-2019-0233），使得在上传文件并对其进行操作的时候，造成拒绝服务漏洞攻击。
影响版本 Apache Struts 2.0.0 - 2.5.20
安全版本 Apache Struts >= 2.5.22
修复建议 根据漏洞相关信息，腾讯安全建议您：
将 Apache Struts 框架升级至最新版本。
使用腾讯云 Web 应用防火墙，腾讯云 Web 应用防火墙是基于 AI 的一站式 Web 安全解决方案。
S2-059 漏洞最典型的特征就是该漏洞会用到 OGNL 语言，在此之前腾讯安全技术团队针对 ONGL 表达式进行了定向攻坚，针对 OGNL 表达式的攻击进行了定向封堵，并集成到 Web 应用防火墙中，因此只要是根据 OGNL 表达式来攻击的漏洞，Web 应用防火墙都可以直接防御。 同时腾讯云 Web 应用防火墙的智能引擎也针对 sql、xss 和命令执行等类型攻击进行智能防御，配合 AI 技术对未知的安全漏洞威胁进行合理有效的封堵，为业务保驾护航。

[2024-04-07 09:26]